Global ETD Search

141	Resolving the Password Security Purgatory in the Contexts of Technology, Security and Human Factors Adeka, Muhammad I., Shepherd, Simon J., Abd-Alhameed, Raed 22 January 2013 (has links) Yes / Passwords are the most popular and constitute the first line of defence in computer-based security systems; despite the existence of more attack-resistant authentication schemes. In order to enhance password security, it is imperative to strike a balance between having enough rules to maintain good security and not having too many rules that would compel users to take evasive actions which would, in turn, compromise security. It is noted that the human factor is the most critical element in the security system for at least three possible reasons; it is the weakest link, the only factor that exercises initiatives, as well as the factor that transcends all the other elements of the entire system. This illustrates the significance of social engineering in security designs, and the fact that security is indeed a function of both technology and human factors; bearing in mind the fact that there can be no technical hacking in vacuum. This paper examines the current divergence among security engineers as regards the rules governing best practices in the use of passwords: should they be written down or memorized; changed frequently or remain permanent? It also attempts to elucidate the facts surrounding some of the myths associated with computer security. This paper posits that destitution of requisite balance between the factors of technology and factors of humanity is responsible for the purgatory posture of password security related problems. It is thus recommended that, in the handling of password security issues, human factors should be given priority over technological factors. The paper proposes the use of the (k, n)-Threshold Scheme, such as the Shamir’s secret-sharing scheme, to enhance the security of the password repository. This presupposes an inclination towards writing down the password: after all, Diamond, Platinum, Gold and Silver are not memorised; they are stored. / Petroleum Technology Development Fund Guidelines Internet Education Human factors Computer crime Purgatory Technology Cryptography Computer security Social engineering Human hacking Socio-cryptanalysis Password Password repository
142	Security evaluation of the Matrix Server-Server API / Säkerhetsutvärdering av Matrix Server-Server API Stenhav, Hîvron January 2023 (has links) This thesis presents a comprehensive security analysis of the Server-Server API of the Matrix protocol, providing a detailed examination of its vulnerabilities and contributing a significant body of knowledge to the cybersecurity field. The research focused exclusively on the Server-Server API of the Matrix protocol. Despite the testing of 2 vulnerabilities that did not succeed, the primary contribution of this work lies in the in-depth threat analysis and the identification of 16 critical, yet untested, vulnerabilities that may be probed in future research. The findings reveal that the Matrix protocol’s Server-Server API currently maintains a competent level of security. However, the uncovered vulnerabilities highlight the necessity for continuous and proactive security measures within its ongoing development. The practical implications of the identified vulnerabilities are substantial, with relevance extending to similar APIs in the broader digital communication landscape. The rigorous penetration testing methodology following rigorous standards, coupled with systematic documentation, ensures a trustworthy basis for the study’s conclusions. In essence, this thesis does not only answer the research question by identifying and documenting current security weaknesses within the Server-Server API but also establishes a methodological foundation for future security enhancement initiatives. By doing so, it adds valuable insights to the cybersecurity community, with implications for developers, researchers, and users alike, emphasizing the need for a persistent and vigilant approach to API security in the evolving digital era / Denna avhandling presenterar en omfattande säkerhetsanalys av Server-Server API:et för Matrix-protokollet, och bidrar med en utvärdering av dess sårbarheter och betydande kunskap till cybersäkerhetsområdet. Forskningen fokuserade uteslutande på Server-Server API:et för Matrix-protokollet. Trots penetrationstestningen av två sårbarheter som inte lyckades, ligger det primära bidraget från detta arbete i den djupgående hotanalysen och identifieringen av 16 kritiska, ännu otestade, sårbarheter som kan utforskas i framtida forskning. Resultaten visar att Matrix-protokollets Server-Server API för närvarande upprätthåller en bra säkerhetsnivå. De upptäckta sårbarheterna betonar dock nödvändigheten av kontinuerliga säkerhetsåtgärder inom dess pågående utveckling. De praktiska konsekvenserna av de identifierade sårbarheterna är betydande, med relevans som sträcker sig till liknande API:er i det bredare digitala kommunikationslandskapet. Den noggranna metodiken för penetrationstestning enligt strikta standarder, tillsammans med systematisk dokumentation, säkerställer en tillförlitlig grund för studiens slutsatser. I grund och botten svarar denna avhandling inte bara på forskningsfrågan genom att identifiera och dokumentera nuvarande säkerhetsbrister inom Server-Server API:et utan etablerar också en metodologisk grund för framtida säkerhetsförstärkningsinitiativ. Genom att göra detta tillför den värdefulla insikter till cybersäkerhetsgemenskapen, med implikationer för utvecklare, forskare och användare lika, vilket betonar behovet av en ihärdig och vaksam inställning till API-säkerhet i den utvecklande digitala eran. Security Ethical hacking Open-Source Matrix Penetration testing Threat modelling API Säkerhet Etisk hackning Öppen källkod Matrix Penetrationstesting Hotmodellering API Computer Sciences Datavetenskap (datalogi)
143	Gamifying Attack Path Reporting : Preliminary design of an educational cyber security game Misnik, Anna, Zakko, Shafeek January 2022 (has links) With rapid digitalization and technical growth, the IT systems that we are using are becoming extremely complicated and intertwined. This created as a result, more challenging security problems that get complicated alongside the systems, and the need for advanced solutions to prevent the exploitation of systems vulnerabilities. Cloud computing services are one of the infrastructures in most need for complex security systems for mitigating and preventing possible threats. Education in cyber security field is obligated to maintain continuous innovation and advancement to meet the market needs of cyber security specialists. The options available today for educating about cyber security are mostly part of the traditional teaching approaches. To supplement the cyber security field with more educational solutions, our project studies the pattern of attack graphs and maps them to design a simple 2D video game level that presents an educational hacking game and evaluates the different design aspects and their matching for the prespecified requirement. The outcome of the project is a Minimum Viable Product (MVP) in the form of a testable demo level of the game. The produced MVP connects cyber security aspects within cloud computing to its own objects. The game’s graphical and level design had the biggest focus in the project, functionality was not largely implemented. The MVP is to be developed further in future work to implement a full functioning design. / IT-system som används blir extremt komplicerade och sammanflätade på grund av snabb digitalisering och teknisk tillväx. Detta orsakade mer utmanande säkerhetsproblem och därför behov av avancerade lösningar för att förhindra exploatering av systemsårbarheter blir mer aktuellt. Molntjänster är en av de infrastrukturer med det största behovet av komplexa säkerhetssystem för att mildra och förebygga möjliga hot. Utbildning inom cybersäkerhetsområdet är skyldig att upprätthålla kontinuerliga innovationer och framsteg för att möta marknadens behov för cybersäkerhetsspecialister. För att förse cybersäkerhetsområdet med fler pedagogiska lösningar, studerar vårt projekt mönster för attackgrafer och kartlägger dem. Resultatet blir ett enkel 2D-videospel presenterat i form av ett pedagogiskt hackingspel som utvärderar de olika designaspekterna och deras matchning med det förspecificerade kravet. Resultatet av projektet är en Minsta Lönsamma Produkt (MLP), nämligen ett körbart demo av potentiella spelet. Den producerade MLP:n kopplar cybersäkerhetsaspekter inom molntjänster till sina objekter. Spelets grafiskdesign och banadesign hade det största fokuset i projektet, funktionaliteten var inte till stor del implementerad. MVP:n borde utvecklas vidare i framtida arbeten i syfte att implementera en fullständig körbar design för produkten. Gamification Cyber Security Education Game Design Meta Attack Language Attack Simulations Hacking Spelifiering Cybersäkerhetsutbildning Spel Design Meta Attack Språk Attacksimuleringar Dataintrång Computer and Information Sciences Data- och informationsvetenskap
144	Penetration testing of current smart thermostats : Threat modeling and security evaluation of Shelly TRV and Meross Smart Thermostat / Penetrationstestning av aktuella smarta termostater : Hotmodellering och säkerhetbedömning av Shelly TRV och Meross Smart Termostat Lindberg, Adam January 2023 (has links) As smart homes become increasingly common and concerns over Internet of Things (IoT) security grow, this study delves into the vulnerabilities of smart thermostats. These devices offer convenience but also comes with increased risk of cyber attacks. This study evaluates the susceptibility of the Shelly Thermostatic Radiator Valve (TRV) and the Meross Smart Thermostat to potential threats across various attack vectors – encompassing firmware, network, radio, and cloud – through penetration testing guided by the PatrIoT methodology. Findings reveal four unknown vulnerabilities in the Meross Smart Thermostat and two in the Shelly TRV. These vulnerabilities consist of insecure firmware updates, lack of network encryption, exploitable radio communication, and cloud-related gaps. Recommendations aiming at mitigating the found vulnerabilities include implementing secure Wi-Fi access points for both models during setup, and ensuring strong encryption for the Meross Smart Thermostat’s radio communication. The study contributes to an increased awareness of potential security risks associated with these devices, though the extent of vulnerabilities across all smart thermostat models cannot be definitively concluded. / I takt med att smarta hem blir allt vanligare och med växande medvetenhet om säkerhet för Internet of Things (IoT), undersöker denna studie potentiella sårbarheter hos smarta termostater. Dessa enheter förenklar användares vardag, men ger också upphov till nya cyberhot. Denna studie granskar Shelly TRV och Meross Smart Thermostat för potentiella hot inom attackvektorerna firmware, nätverk, radio och moln, genom penetreringstestning som vägleds av PatrIoT-metodiken. Resultatet är fyra upptäckta sårbarheter i Meross-modellen och två i Shelly Thermostatic Radiator Valve (TRV) inklusive osäkra firmware-uppdateringar, brist på nätverkskryptering, utnyttjbar radiokommunikation och molnrelaterade problem. Rekommendationer med syfte att mitigera de upptäckta sårbarheterna inkluderar att implementera säkra Wi-Fi-åtkomstpunkter för båda modellerna under installationen och att säkerställa stark kryptering för Meross Smart Thermostat:s radiokommunikationen. Studien bidrar till en ökad medvetenhet om potentiella säkerhetsrisker som är förknippade med dessa enheter, även om det inte kan fastställas hur vanligt det är med sårbarheter i smarta termostater IoT penetration testing Smart thermostat Ethical hacking PatrIoT Cybersecurity IoT penetrationstestning Smart termostat Etisk hackning PatrIoT Cybersäkerhet Computer and Information Sciences Data- och informationsvetenskap
145	Ethical Hacking of a Virtual Reality Headset / Etisk Hackning av ett par Virtuella Verklighets Glasögon Höft, Olivia January 2023 (has links) Weak product cybersecurity is an increasing problem within society, and a growing consumer product is the Virtual Reality (VR) headset. This thesis investigated common vulnerabilities in Internet of Things (IoT) consumer products and performed proof-of-concept exploits on the Meta Quest VR headset. The research method employed in this thesis was black-box penetration testing, a method to find possible vulnerabilities in a system. The method was provided by the Penetration Testing Execution Standard (PTES) and the scope was on network-related attacks on the VR headset. The PTES standard included doing a threat model of the Meta Quest VR headset to find possible vulnerabilities within the scope of this thesis. Furthermore, common vulnerabilities were studied and the findings resulted in the conducted attacks on the VR headset. The attacks were tested on an environment that mimics the situation that the target connects to a public Wireless Fidelity (WiFi) that the adversary created. The result showed that the Meta Quest VR headset had security countermeasures against potential threats. However, among the conducted attacks, a (Domain Name System) DNS spoofing attack was successful where it also was concluded that it could result in a Denial of Service (DoS) attack. / Svag cybersäkerhet för produkter är ett ökande problem i samhället, och en växande konsumentprodukt är Virituella Verklighets (VR) glasögon. Den här avhandlingen undersökte vanliga sårbarheter i Sakernas internet (IoT) konsumentprodukter och undersökte om det var möjligt att utnyttja på Meta Quests VR glasögon. Forskningsmetoden som användes i denna avhandling var black-box penetrationstestning, en metod för att hitta möjliga sårbarheter i ett system. Penetrationstestet utfördes enligt The Penetration Testing Execution Standard (PTES) och omfattningen var på nätverksrelaterade attacker på VR-headsetet. PTES-standarden inkluderade att göra en hot modell av Meta Quest VR-headsetet för att hitta möjliga sårbarheter inom omfattningen av denna avhandling. Vidare studerades vanliga sårbarheter och resultatet resulterade i de utförda attackerna mot VR-headsetet. Attackerna testades i en miljö som efterliknar situationen där offret ansluter till ett offentligt nätverk (WiFi) som förövaren skapat. Resultatet visade att Meta Quest VR headsetet hade motståndskraftiga säkerhetsåtgärder mot potentiella hot. Däremot, bland de utförda attackerna, var en Domännamnssystem (DNS) spoofing attack framgångsrik som också påvisade att attacken kunde resultera i en överbelastnings (DoS) attack. Cyber Security Ethical Hacking Penetration Test Virtual Reality Headset Cyber Säkerhet Etisk Hackning Penetrationstest Virituella Verklighets Glasögon Computer and Information Sciences Data- och informationsvetenskap
146	Underneath the Surface : Threat modeling and penetration testing of a submarine robot / Under Ytan : Hotmodelling och penetrationstest av en undervattensrobot Vatn, Niklas January 2023 (has links) Connected devices have become an integral part of life in modern society. In the industry, several tasks have been automatized and are now performed by robots, a development that is called Industry 4.0. Robotics are breaking new ground, and autonomous underwater vehicles (AUVs) will enable the exploration and exploitation of areas previously inaccessible. The underwater robots are therefore expected to be deployed at scale in our seas for commercial and military purposes. This will make them a target for malicious actors to exploit security issues in the AUVs. It has previously been reported that robot developers often down-prioritize security and that leading robotics frameworks have severe vulnerabilities. This thesis aims to assess the security of a modern AUV, SAM, by the Swedish Maritime Robotics Center. The goal was to determine if it is vulnerable to attacks common in robots and connected vehicles and to find out what cyber threats exist to underwater vehicles. The method in this project was ethical hacking through a penetration test. It included creating a threat model for the robot and vulnerability analysis. Several vulnerabilities were selected for exploitation to determine and demonstrate how an attacker could abuse them. The result showed that several vulnerabilities were exploitable, and SAM was considered insecure. The project's direct impact is that it provides SMaRC with advice on how to improve the security of its vehicle and the security practices in its development team. Underwater robotics is still a novel field, and there needs to be more research published on threats to robots. As a result, the threat model and vulnerability analysis can be a good guideline for another security researcher pentesting an AUV or a developer team looking to improve the security of their robots. / Uppkopplade enheter har blivit en integrerad del av livet i det moderna samhället. Inom industrin har flera uppgifter automatiserats och utförs nu av robotar, en utveckling som kallas Industri 4.0. Robotik bryter ny mark, och autonoma undervattensfordon kommer att möjliggöra utforskning och exploatering av områden som tidigare var otillgängliga. Undervattensrobotar förväntas därför användas i stor skala i våra hav för kommersiella och militära ändamål. Detta kommer att göra dem till ett mål för illasinnade aktörer. Tidigare har det rapporterats att robotutvecklare ofta nedprioriterar säkerheten och att ledande ramverk för robotar har allvarliga sårbarheter. Därför syftar denna avhandling till att bedöma säkerheten hos en modern undervattensrobot, SAM, av Swedish Maritime Robotics Center. Målet var att avgöra om den är sårbar för attacker som är vanliga inom robotar och uppkopplade fordon och att ta reda på vilka säkerhetshot som finns mot undervattensfordon. Metoden i detta projekt var etiskt hackande genom ett penetrationstest. Det innefattade att skapa en hotmodell och sårbarhetsanalys för roboten. Flera sårbarheter valdes för att avgöra om och visa hur en angripare kan utnyttja dem. Resultatet visar att flera sårbarheter var exploaterbara och att SAM betraktades som osäker. Den direkta effekten av projektet är att det ger SMaRC råd om hur de kan öka säkerheten hos sitt fordon och förbättra säkerhetspraxis i sitt utvecklingsteam. Undervattensrobotik är fortfarande ett nytt område, och det behövs mer forskning som undersöker hot mot robotarna. Därför kan hotmodellen och sårbarhetsanalysen vara riktlinjer för en annan säkerhetsforskare som utför penetrationstestning på en AUV eller ett utvecklingsteam som vill förbättra säkerheten hos sina robotar. Security Ethical Hacking Threat Modeling IoT Autonomous Underwater Vehicles Säkerhet Etisk Hackning Hotmodelling IoT Autonoma Undervattensrobotar Computer Sciences Datavetenskap (datalogi) Computer and Information Sciences Data- och informationsvetenskap
147	Cybersecurity Evaluation of an IP Camera Stroeven, Tova, Söderman, Felix January 2022 (has links) The prevalence of affordable internet-connected cameras has provided many with new possibilities, including keeping a watchful eye on property and family members from afar. In order to avoid serious breaches of privacy, it is necessary to consider whether these devices are secure. This project aims to evaluate the cybersecurity of one such device, an IP camera from Biltema. This was done by performing an extensive analysis of the camera, determining possible vulnerabilities, and performing penetration tests based on identified vulnerabilities. The tests included capturing and analyzing network traffic, attempting to crack the camera credentials, and attempting to disable the camera completely. The conclusions were that the camera should not be used for any security applications and is unsuitable to use in situations where one's privacy is important. / Det breda utbudet av prisvärda och kameror med internet uppkopling har medfört helt nya möjligheter. Idag är det till exempel möjligt att hålla koll på sina barn utan att vara i rummet, eller hålla ett öga på hemmet via mobilen. Det är dock nödvändigt att reflektera över om dessa enheter är säkra, för att undvika allvarliga integritetsintrång. Projekets syfte är att utvärdera cybersäkerheten hos en sådan enhet, en IP-kamera från Biltema. Utvärderingen bestod av en omfattande analys av kameran, identifikation av möjliga sårbarheter och utförande av ett antal penetrationstester baserat på de upptäckta sårbarheterna. Testerna omfattade en analys av nätverkstrafik, att försöka knäcka kamerans inloggningssuppgifter samt att försöka inaktivera kameran. Slutsatsen var att kameran inte bör användas inom säkerhetstillämpningar och att den är olämplig i situationer där integritet är viktigt. / Kandidatexjobb i elektroteknik 2022, KTH, Stockholm cybersecurity IP camera baby camera security camera penetration testing IoT Biltema privacy ethical hacking Elektroteknik och elektronik
148	An Attribution Method for Alerts in an Educational Cyber Range based on Graph Database Wang, Yang January 2023 (has links) Finding the source of events in a network is a critical problem in network security, and this process is called network attribution. This thesis develops a system to attribute alerts from the cyber range of the Ethical Hacking Course at KTH to students. The cyber range is an essential component of the Ethical Hacking course. It provides a platform for students to practice their hacking knowledge and skills while recording their actions for research or course purposes. To use the alerts generated by the cyber range to study student behavior, it is necessary to find which student triggered the alert. In this thesis, the system uses a method based on a graph database to attribute alerts to students. The system designed in this thesis use the log data recorded by the cyber range to create nodes and relationships and use the data related to the traffic between hosts to attribute the traffic. After the attribution is complete, the system uses the attributed student traffic to reconstruct the path from the student to the host that captured the alert. If the path from the student to the host is successfully constructed, the attribution of the alert is considered successful. In the end, the system was able to attribute 94% of the student traffic. Using the student traffic that is successfully attributed, the system can attribute 79.75% of the bad-samba alerts to students and build the path from the student to the host. The system designed in this thesis is helpful for understanding and managing the students’ hacking behavior in the cyber range of the Ethical Hacking course. / Att hitta källan till händelser i ett nätverk är ett kritiskt problem inom nätverkssäkerhet och denna process kallas för nätverksattribuering. Denna avhandling utvecklar ett system för att attribuera varningar från cyberrummet i kursen Etisk Hacking på KTH till studenter. Cyberrummet är en viktig komponent i Etisk Hacking-kursen och det ger en plattform för studenter att öva på sina hackningskunskaper och färdigheter samtidigt som deras handlingar spelas in för forsknings- eller kursändamål. För att använda de varningar som genereras av cyberrummet för att studera studenters beteende är det nödvändigt att hitta vilken student som utlöste varningen. I denna avhandling använder systemet en metod baserad på en grafisk databas för att attribuera varningar till studenter. Vi använder loggdata som registreras av cyberrummet för att skapa noder och relationer och använder data relaterade till trafiken mellan värdar för att attribuera trafiken. Efter att attribueringen är klar använder systemet den attribuerade studenttrafiken för att återkonstruera vägen från studenten till värdet som fångade varningen. Om vägen från studenten till värdet framgångsrikt konstrueras anses attribueringen av varningen vara lyckad. I slutändan kunde systemet attribuera 94% av studenttrafiken. Genom att använda den studenttrafik som framgångsrikt attribueras kan systemet attribuera 79,75% av de dåliga-samba varningarna till studenter och bygga vägen från studenten till värdet. Systemet som designats i denna avhandling är till hjälp för att förstå och hantera studenters hackningsbeteende i cyberrummet i kursen Etisk Hacking. Network Attribution. Cyber Range Ethical Hacking Course. Graph Database. Nätverksattribuering Cyberområde Etisk Hackningskurs Grafisk Databas Elektroteknik och elektronik
149	Hacking commercial IP cameras : Home Surveillance Georgiev, Hristo, Mustafa, Azad January 2021 (has links) IP cameras have been around for a while and have been a growing part of the IoT scene. There is a variety of IP cameras being used in enterprises and homes with the main reason being for surveillance. This naturally attracts attackers to potentially take control of the camera feeds and or disable them completely. We tested the security of home surveillance cameras in different price categories, ranging from 350 SEK to 800 SEK, to research if the security of the cameras differs depending on the price. In addition, we also focused on two different vendors with the goal of discerning whether they have implemented different security measures. The method used to solve our task was to find and exploit existing vulnerabilities from similar devices and potentially find new ones ourselves. Even though existing vulnerabilities were mostly patched, there was still valuable information in the exploits. This showed that some vendors were aware of existing vulnerabilities and had the drive to patch them. Our work resulted in finding two vulnerabilities in one of the vendor’s cameras, which was disclosed to the affected vendor. The disclosure process resulted in an announcement in the support page[29]. MITRE also confirmed two CVE ID’s from our request, CVE-2021-41503[31] and CVE-2021-41504[32]. Our conclusion is that there are still critical security risks when it comes to the camera’s various features and other IoT devices that are yet to be exposed. / IP-kameror har funnits ett tag och har blivit en del av IoT-scenen. Det finns en mängd olika IP-kameror som används i företag och hem med den främsta anledningen till övervakning. Detta lockar naturligtvis angripare att eventuellt använda kameraflödena eller inaktivera dem helt. Vi testade säkerheten för hemövervakningskameror i olika priskategorier, från 350 SEK till 800 SEK, för att undersöka om kamerans säkerhet skiljer sig åt beroende på pris. Vi fokuserade också på två olika leverantörer med målet att se om de har genomfört olika säkerhetsåtgärder. Metoden som användes för att lösa vår uppgift var att hitta och prova befintliga sårbarheter från liknande enheter och eventuellt hitta nya själva. Även om befintliga sårbarheter var för det mesta lösta så var det fortfarande värdefull information vi kunde ta del av. Detta visar att vissa leverantörer är medvetna om befintliga sårbarheter och har drivet att korrigera dem. Vårt arbete resulterade i att vi hittade två sårbarheter i en av leverantörens kameror, vilket informerades till den berörda leverantören. Avslöjandeprocessen resulterade i ett tillkännagivande på supportsidan[29]. MITRE bekräftade också två CVE IDs från vår begäran, CVE-2021-41503[31] och CVE-2021-41504[32] Vår slutsats är att det fortfarande finns några kritiska säkerhetsrisker avseende kamerornas funktioner och andra IoT-enheter som kan exponeras. Ethical Hacking Penetration Testing IP cameras IoT Home Surveillance Etisk Hackning Penetrationstestning IP kameror IoT Hemövervakning. Computer and Information Sciences Data- och informationsvetenskap
150	Clean Code : Investigating Data Integrity and Non-Repudiation in the DevOps Platform GitLab / Oförvanskad kod : En undersökning av informations- och användarintegritet i DevOps-plattformen GitLab Augustsson, John, Carlsson, Johan January 2021 (has links) Recent supply chain attacks on a larger scale in combination with a growing adoption of the set of automated software development and deployment practices commonly referred to as ’DevOps’, made us interested in the security of the underlying infrastructure supporting these practices. If a malicious commit in a piece of software can expose internal systems and networks of all users of said software to vulnerabilities, questions regarding trust and repudiation becomes central, in the platforms themselves as much as in each digitally signed software update version. GitLab is a DevOps platform that offer an open-source (Community Edition, (CE)) of their application, for anyone to use and even modify to better suit their own needs. Anyone who chooses to use GitLab will as a result thereof also choose to put the trust others put in them in the hands of the open-source community around GitLab. Since any vulnerability in GitLab could affect users or organizations that use software developed and shipped with the help of GitLab, we wanted to try finding one for ourselves. We employed well-known techniques from the ethical hacker playbook (threat modeling, risk assessment) in order to identify candidates for attack vectors, and found GitLab’s GraphQL Application Programming Interface (API) to be a great starting point since it not only was but still is under development, but that the body of previous work seemed to suggest inconsistencies in the business logic layer underneath. Our main findings are: at least two instances where we were able to gain unauthorized access to data within our self-hosted GitLab instance. We also found that a new feature could be used for privilege escalation under certain conditions. We were then able to conclude that open source software and a prolific bug bounty program does not guarantee the security of GitLab, in and of themselves. All findings have been reported to GitLab through their bug bounty program. / Under det senaste decenniet har mjukvaruutvecklande organisationer visat ett tilltagande intresse för de metoder för automatiserade utvecklings- och distributionstekniker som vanligen brukar samlas under termen DevOps. Den trenden taget i kombination med det senaste årets större försörjningskedjeattacker (SolarWinds, Microsoft Exchange Server) gjorde att vi började intressera oss för säkerheten kring den infrastruktur som möjliggör dessa metoder. Om en utvecklare med ont uppsåt lyckas få in en ändring i en mjukvara innan den digitalt signeras och distribueras till mjukvarans användare, kan denne lyckas utnyttja svagheten för att få tillgång till eller modifiera de system och nätverk mjukvaran körs på. Frågor om tillit och avsändarintegritet kring vem som står bakom ett kodavsnitt blir i förlängningen därav oerhört viktiga. GitLab är en DevOps-plattform som erbjuds i en version med öppen källkod, vilken alla kan använda och rent av anpassa för sina egna behov. Att använda GitLab innebär dock att man lämpar över den tillit och säkerhet ens användare lagt i ens händer på de som utvecklar plattformen. Eftersom en enskild sårbarhet i GitLab potentiellt kan påverka ett stort antal aktörer som aldrig själva använt GitLab gjorde att vi ville se efter om även vi kunde hitta en sådan sårbarhet. Vi använde oss av välbekanta metoderi etisk hackning-kretsar (hotmodellering) genom vilka vi identifierade GitLabs GraphQL-Application Programming Interface (API) som en potentiellt gynnsam attackvektor. Detta både eftersom API:t fortsatt är under utveckling och att tidigare forskning antytt logiska brister i applikations-lagret. Arbetet ledde fram till ett par fynd. Vi fick åtkomst till otillåten data vid två tillfällen. Med hjälp av en ny funktionalitet kunde vi under vissa omständigheter utöka en användares behörighet. Vi kunde därmed dra slutsatsen att öppen källkod och ett väletablerat bug bounty-program inte i sig är några garantier för säker mjukvara. Samtliga fynd har rapporterats till GitLab via deras bug bounty-program på plattformen HackerOne. GraphQL Threat modeling Open-Source Software Ethical hacking DevOps GraphQL Hotmodellering Öppen källkod Etisk hackning DevOps Computer and Information Sciences Data- och informationsvetenskap

Search results